Si vous voulez expérimenter avec des jetons JWT et voir comment ils fonctionnent, consultez [https://jwt.io](https://jwt.io/).

## Installer `PyJWT` { #install-pyjwt }

Nous devons installer `PyJWT` pour générer et vérifier les jetons JWT en Python.

///

## Renvoyer le jeton { #return-the-token }

La réponse de l'endpoint `token` doit être un objet JSON.

Il doit contenir un `token_type`. Dans notre cas, comme nous utilisons des jetons « Bearer », le type de jeton doit être « bearer ».

Et il doit contenir un `access_token`, avec une chaîne contenant notre jeton d'accès.

* Ne stockez jamais de mots de passe en clair, seulement des hachages de mots de passe.
* Implémentez et utilisez des outils cryptographiques reconnus, comme pwdlib et des jetons JWT, ... etc.
* Ajoutez des contrôles d'autorisation plus granulaires avec des scopes OAuth2 lorsque nécessaire.
* ... etc.

<img src="/img/tutorial/security/image11.png">

## Jeton JWT avec scopes { #jwt-token-with-scopes }

Modifiez maintenant le *chemin d’accès* du jeton pour renvoyer les scopes demandés.

Nous utilisons toujours le même `OAuth2PasswordRequestForm`. Il inclut une propriété `scopes` avec une `list` de `str`, contenant chaque scope reçu dans la requête.

Et nous renvoyons les scopes comme partie du jeton JWT.

/// danger | Danger

labels.boost_document_rule_boost_expr=Expression de boost
labels.boost_document_rule_sort_order=Ordre de tri
labels.access_token_configuration=Jeton d'accès
labels.access_token_title_details=Jeton d'accès
labels.access_token_list_name=Nom
labels.access_token_name=Nom
labels.access_token_token=Jeton
labels.access_token_expires=Expire
labels.access_token_parameter_name=Nom du paramètre
labels.access_token_updated_time=Date de création

* <abbr title="Getting Things Done - S'organiser pour réussir">GTD</abbr>
* <abbr title="less than - inférieur à"><code>lt</code></abbr>
* <abbr title="XML Web Token - Jeton Web XML">XWT</abbr>
* <abbr title="Parallel Server Gateway Interface - Interface passerelle serveur parallèle">PSGI</abbr>

## Gérer les dépendances { #dependencies }

Nous voyons que nous allons avoir besoin de certaines dépendances utilisées à plusieurs endroits de l'application.

Nous les mettons donc dans leur propre module `dependencies` (`app/dependencies.py`).

Nous allons maintenant utiliser une dépendance simple pour lire un en-tête personnalisé `X-Token` :

  url: https://github.com/nahyunkeem
timothy-jeong:
  login: timothy-jeong
  count: 3
  avatarUrl: https://avatars.githubusercontent.com/u/53824764?u=db3d0cea2f5fab64d810113c5039a369699a2774&v=4
  url: https://github.com/timothy-jeong
gerry-sabar:
  login: gerry-sabar
  count: 3
  avatarUrl: https://avatars.githubusercontent.com/u/1120123?v=4

errors.failed_to_download_mapping_file = Échec du téléchargement d'un fichier de mappage.
errors.failed_to_upload_mapping_file = Échec du téléversement d'un fichier de mappage.
errors.invalid_kuromoji_token={0} n'est pas valide en tant que jeton.
errors.invalid_kuromoji_segmentation=Le nombre de segmentations pour {0} et {1} est différent.
errors.invalid_str_is_included = {1} n'est pas valide pour {0}.
errors.blank_password = Le mot de passe est requis.

### Résumé { #summary }

Je disais que je n'aimais pas trop l'histoire ... et me voilà maintenant à donner des leçons d'« tech history ». 😅